日本のPOS端末が狙われる、組み込みシステムのセキュリティ対策：セキュリティ強化塾（5/6 ページ）

[キーマンズネット]

パターンファイル更新やインストールが不要なアンチウイルスツールを使う

　上掲の事件例に見る通り、ウイルス感染には最も警戒が必要だ。アンチウイルスツールが組み込みシステムに導入でき、絶えず最新の更新が行えるようならよいが、インターネット接続をしない組み込みシステムではそれが難しい。

　そこで、セキュリティベンダーが提供しているパターンファイル不要なアンチウイルスツールの利用は1つの有効な対策になるだろう。これは、あらかじめ登録したアプリケーション（実行ファイル）だけが実行され、登録外の実行ファイルは起動されないようにするツールだ。

　対象端末にエージェントソフトを導入しておけば、たとえウイルスのファイルが端末に持ち込まれたとしても、その起動を防ぐことができる。いわばシステムの機能の「ホワイトリスト運用」であり、利用したい機能を特定して、それ以外の機能は使わないようにできる（ロックダウンという）わけだ。

　また脆弱性を狙ってウイルス感染が企てられたとしても、ツールの機能で感染リスクを低減し、かつ不正実行防止のための「APIフッキング」「DLLインジェクション」「メモリランダム化」機能なども持つため安全性が高まる。

　アンチウイルスソフトの導入ができない端末やネットワーク接続をしない端末には、USBメモリ型のアンチウイルスツールも提供されており、ソフトの導入なしでウイルススキャンと駆除ができる製品もある。

　これらのアンチウイルスツールはWindows対策だが、サポート切れのOSでも利用できるため、古いバージョンを利用している場合でも有効性が期待できる。

機能はできるだけ絞り込むべし

　組み込みシステムのユーザーとしてできることは限られており、上述のようなウイルス対策の他は、ほとんど機器ベンダーの対策待ちになる。導入時には特に通信や情報保管の際の暗号化の仕組みや、外部記憶デバイスが接続可能か否かについて検討し、業務に特別必要がない機能は最初からない製品を選ぶことが薦められる。

　また外部からのリモートアクセスは、メンテナンス時に最低限必要な場合だけ可能なように運用し、できれば必要が生じた場合だけネットワークに接続する運用が望ましい。複数端末を運用するPOSシステムなどでは難しいが、工場の生産機器やデジタルサイネージなどの場合なら、できない配慮ではないだろう。

　逆に利用が推奨される機能はログ機能だ。そもそもログ取得しない製品も多いようだが、取得できる場合は必ず取得し、あとで分析できるようにしておくとよい。情報漏えいの予防にはなりにくいが、怪しい事象の発見や情報漏えい後の原因追及の手掛かりになる。

脆弱性情報と対応方法に注意する

　脆弱性は運用の中で見つかるものなので、新しいシステムを導入した時点では脆弱性が皆無でも、運用していく中では必ず脆弱性が発見され、対応が迫られることを覚悟しておかなければならない。

　ベンダー自身が脆弱性情報に敏感に反応し、ユーザーへの通知や対策のためのパッチ適用、アップデートサービスの提供をきちんとしてくれるかどうかは重要な評価ポイントだ。そのサービスの仕組みや方法については必ず相談し、納得できるベンダーの製品を選ぶようにしたい。

　ベンダーからの公表以外にIPAとJPCERT/CCが提供している脆弱性対策情報データベース（JVN iPedia）および脆弱性対策情報ポータルサイト（JVN）でも適時に脆弱性情報が公開されるので、定期的にチェックしておくとよい。